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(54) Bezeichnung: VERFAHREN FUR EIN NETZBASIERTES DATENSPEICHERSYSTEM MIT HOHER SICHERHEIT 



HauptschlieBfach (1) 



p ereflnlicha SchtieSfccher (2) 



B ereitstellungsschlieSfacher (3) 



E mpfangsschtfeQfacher {A) 



Offentliche Schltettfacher (5) 



Nutzerschfiettfacher (7) 

befinden sich in den Berettstedungs- 

scMeflfachern 



On 



IT) 

o 



1 MAM LOCKER 

3 PERSONAL LOCKERS 

9 FROVWWNWO LOCKERS 

4 RECUVtNO LOCK EKS 
< PU1UC LOCKERS 

7 USER LOCKERS ARE LOCATED M THE 



PROVTSKWtMO LOCKERS 



(57) Abstract: The invention relates to a method for use in a data storage system which applies high safety requirements for the 
storage of data on a server in a telecommunications network and for the retrieval of the files by the local computers linked with the 
server via the network. The applicant is provided with a user certificate and public and secret keys, preferably on a chip card. Once 
the server is dialed up via the internet, a client program is forwarded to the user which controls authentication of the user and the 
transmission of additional safety-relevant features of proof such as biometrical systems, geographical positioning, time-dependent 
data, network and computer data etc. to the server. The storage system on the server is provided with a locker-type characteristic 
by establishing folders comprising a specific file for the safety requirements related thereto. The lockers are distinguished by their 
specific function and are only displayed to the user when the safety requirements are met. This locker system thus also has virtual 
character. 

[Fortsetzung auf der niichsten Seite) 
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— vor Ablauf der fur Anderungen der Anspriiche geltenden 
Frist; Veroffentlichung wird wiederholt, falls Anderungen 
einireffen 

Zur Erkldrung der Zweibuchstaben-Codes und der anderen Ab- 
kiirzungen wird auf die Erkldrungen ("Guidance Notes on Co- 
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(57) Zusammenfassung: Die Erfindung bctriflt cin Verfahrcn fiir cin Datenspcichcrsystcm, bci dem fur die Spcichemng der Daten 
auf einem Server in einem Telckommunikationsnctz und den Abruf der Dateicn durch die liber das Netz mit dem Server verbundencn 
lokalen Rechner hohe Sicherheitsanforderungen vorgegeben werden. Nutzerzertifikat sowie dffentlicher und geheimer SchlUssel 
werden dem Anlragsteller vorzugsweise auf einer Chipkarle bereitgestellt. Nach Anwahl des Servers Uber das Internet wird dem 
Nutzer ein Clientprogramm zugesandt, das die Authentifizierung des Nutzers sowie die Obertragung weiterer sicherheitsrelevanter 
Nachweise wie biometrische Systeme, geografische Positionsbestimmung, ZeitabhSngigkeiten, Netz- und Rechnerdaten u.a. zum 
Server steuert. Das Speichersystem auf dem Server erhalt SchlieBfachcharakter, indem jeder OrdneT mit einer speziellen Datei fttr 
die auf ihn bezogenen Sicherheitsanforderungen eingerichtet wird. Die SchlieBfacher werden nach Funktionen unterschieden und 
kommen flir die Nutzer nur zur Anzeige, wenn die Sicherheitsbedingungen erflillt sind. Damit hat SchlieBfachsystem einen virtuellen 
Charakter. 
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Verfahren fur ein netzbasiertes Datenspeichersystem mit hoher Sicherheit 
Beschreibung 

5 Die Erfindung betrifft das Gebiet der Sicherheit fiir den Zugriff und die Datenspeicherung 
auf Servern, die in Netzwerken mit freiem Zugang arbeiten. 

Angaben zum Stand der Technik 

Fiir die Sicherheit und Bereitstellung von Dateien iiber z.B. das Internet gibt es eine Reihe 
10 von Anwendungen, deren spezifische Merkmale im folgenden dargestellt werden. 

Bei der Applikation Cryptoheaven (siehe http://www.crytoheaven.conv) handelt es sich 
urn eine Java Applikation (Applet/Java Plugin). Die Anzeige erfolgt wie beim MS- 
Explorer, links geteilt in Verzeichnisbaum (incl. lokaler Rechner) und Kontaktliste. 

1 5 Einstellungen sind iiber die rechte Maustaste/Popup moglich. Es wird ein proprietares 

Protokoll iiber den Port 82 verwendet. Eingesetz wird Datenkompression. Dateien werden 
signiert und verschlOsselt. Ein Upload der Dateien ist auch mit Drag and Drop (DnD) aus 
dem lokalen Filesystem moglich. Die Ablaufsteuerung entspricht weitgehend der von 
MS-Explorer. Die Verschlusselung erfolgt lokal auf dem Clientrechner. Es kSnnen 

20 Verzeichnisse angelegt, geloscht und umbenannt werden. Die Freigabe von 

Verzeichnissen erfolgt an "eingeladene Nutzer". Die Einladung uber e-mail erfolgt durch 
Teilnehmer, die das System abboniert haben. Der Eingeladene muss zustimmen. Die 
Authentifizierung erfolgt mittels User-ID und Passwort. Das System gibt es fur die 
Betriebssysteme Windows/Unix und Linux. 

25 

Eine andere typische Anwendung gibt es bei bvPREMIERE, bvPRO, bvPLUS+ und big 
VAULT Enterprise (siehe http://wvAv.biiavault.comY Die Anwendungen sind speziell fiir 
Windows und ermdglichen die Einbindung (Anlegen) eines Laufwerks in den MS- 
Explorer, der Ober das WEB bedient wird. Das Obertragungsprotokoll fiir Dateiupload 
30 und Dateidownload ist html iiber eine SSl-Verbindung. Die VerschlUsselung der Dateien 
erfolgt auf dem Server. Die Freigabe von Verzeichnissen und Dateien erfolgt mit einem 
Besucherpasswort. Es gibt einen Eingangskorb fiir autorisierte Nutzer. Ein Login ist als 
Nutzer oder Besucher mtiglich. Das Einrichten von Passwortern mit beschrankter 
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Giiltigkeitsdauer erfolgt in der Art, wie es beispielsweise bei UNIX seit vielen Jahren 
angewendet wird. 

Eine weitere Anwendung, die einen online Datei-Service fur Upload/Download bietet, ist 
5 GLOBEDESK (siehe http://www.globedesk.com) . Fur Upload/Download Uber den 
Browser wird html oder ftp verwendet. Die Verbindung wird uber SSL gesichert. Die 
Verschltisselung erfolgt auf dem Server. Die Namen der Abonnenten sind in einem 
Verzeichnis aufgelistet. Ein Klick auf einen Namen verbindet mit den bereitgestellteri 
Verzeichnissen. Die Identifizierung der Nutzer erfolgt iiber e-mail und Namen. 

10 

Die angegebenen Beispiele sind durch folgende Merkmale charakterisiert: 

- Die Sicherheit beruht auf einem Modell mit Nutzernamen und Passwort. Sobald sich 
ein Nutzer durch seinen Namen und das dazu gehorende Passwort authentifiziert hat, 
steht ihm das System in immer gleicher Weise zur Verfugung. 

15 

- Die Speicherung der Daten erfolgt in einem Dateisystem bzw. derart, das fur den 
Nutzer die Funktionalitat eines Dateisy stems exakt nachgebildet wird (z.B. Postfacher 
bei Webmail). 

20 Die bekannten Anwendungen haben hinsichtlich Sicherheit und Speichersystem folgende 
Nachteile: 

- Ein auf Nutzernamen und Passwort beruhendes Sicherheitsmodell kann fiir die 
Zugriffserlaubnis lediglich die ZustSnde erteilt oder entzogen umsetzen. Eine feinere 
Einstellung, zum Beispiel durch Zeitbegrenzung oder einzuhaltende ZeitabstSnde fvir 

25 den Zugriff sind nicht mflglich, ebenso nicht eine Begrenzung der Anzahl gleichzeitig 
zugreifender Nutzer. 

- Das verwendete Speichemodell ist charakterisiert als Registratur der angelegten 
Ordner, in die die Dateien ohne Berticksichtigung ihrer Typen abgelegt und 

30 unverandert wieder entnommen werden. Eine frei gewahlte Zuordnung nach Inhalten 
kann vom System selbst nicht kontrolliert werden. VGllig unmOglich ist es, dass ein 
Ordner von sich aus aktiv wird und beispielsweise Sicherheitskopien von den 
gespeicherten Dateien anfertigt, die Dateien mit einem Zeitstempel versieht oder nach 
vorgegebenen Speicherfristen wieder I8scht. 
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Die Erfindung stellt sich die Aufgabe, filr den Zugang und die Datenspeicherung bei 
Servern in Telekonununikationsnetzen ein Verfahren anzubieten, das die Nachteile der 
bekannten Anwendungen iiberwindet und eine wesentlich h6here Sicherheit 
5 gewahrleistet. 

Das Verfahren ist dadurch charakterisiert, das fur die Zugangsrechte Abhangigkeiten wie 
Aufenthaltsort, Zugangszeit, Endgeratemerkmale, QualitSt der Verbindungswege, 
Authentifizierungsmethode etc. beriicksichtigt werden konnen und fur die 
1 0 Datenspeicherung eine Sicherheitskonfiguration nachbildet werden kann, die dem 

SchlieBfachprinzip entspricht. Die Sicherheit wird des Weiteren dadurch erhoht, dass die 
Ver- und Entschlusselung der Dateien auf dem lokalen Rechner des Nutzers erfolgt und 
auf dem Server noch ein zweiter Verschlusselungsalgorithmus angewendet wird, den der 
Nutzer nicht beeinflussen kann. 

15 

Der Datentransfer hat das Ziel, Daten in Speichern von Servern abzulegen, urn sie zu 
gegebener Zeit wieder auf den lokalen Rechner zurOckzuholen, sie auf einen entfernten 
Rechner bearbeiten zu lassen, oder sie Dritten - oder dem Nutzer selbst - an einem 
anderen Ort fur einen bestimmten Zeitraum bereitzustellen. Die Bedingungen, unter 
20 denen ein Zugriff mtiglich ist, mUssen sich prazise einstellen und verwalten lassen. Fur 
die Ablage der Dateien ist ein Ordnungssystem erforderlich, das eine uberschaubare 
Obersichtlichkeit fiir das Auffinden der Dateien bieten sollte und die Datensicherheit 
optimal unterstiitzt. 

25 Die Forderungen nach einer prSzisen Zugriffskontrolle und einem Ordnungssystem fur 
die Ablage der Dateien mit hoher Sicherheit werden optimal erfullt durch das 
erfindungsgemaBe Datenspeichersystem.. Das Datenspeichesystem umfasst den in einem 
Telekommunikationsnetz arbeitenden Server mit seinem speziellen Programm sowie die 
tiber das Netz einbezogenen lokalen Rechner. Das Programm auf dem Server verwendet 

30 als Speichermodell ein SchlieBfachsystem.. Das SchlieBfachsystem hat virtuellen 
Charakter, weil in Abhangigkeit von den Zugriffsrechten dem Nutzer nur die 
SchlieBf&cher und Dateien angezeigt werden, filr die der Nutzer die Zugriffsberechtigung 
hat. Filr den Nutzer gibt es kleine Information, wenn der Zugriff verweigert wird, sondem 
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die SchlieBfacher, UnterschlieBfficher und Dateien, fiir die der Nutzer keine Berechtigung 
hat, werden dem Nutzer nicht angezeigt. 

Fiir den Zugang zu dem Server und die Nutzung der Programme ist eine Erlaubnis 
5 notwendig, die von dem Betreiber des Servers erteilt wird. Ein Antrag dafiir ist etwa auf 
schriftliche Anforderung oder iiber das Internet erhaltlich. Der Antrag muss alle 
Informationen enthalten, die fur die Ausstellung eines Nutzerzertifikats notwendig sind. 
Das Zertifikat enthalt unter anderem den offentlichen Schltissel des Nutzers. Zu diesem 
OfTentlichen Schltissel besitzt der Nutzer einen geheimen Schltissel. Vorzugsweise sind 
1 0 geheimer Schlussel und Zertifikat auf einer Chipkarte gespeichert, da so ein starker 

Schutz des geheimen Schliissels erreicht wird. Wird diese M6glichkeit gewShlt, erhalt der 
Nutzer, urn gegebenen falls das System ohne Chipkarte nutzen zu konnen, ein zweites 
Schliisselpaar, bei dem der geheime Schltissel mit einem vom Nutzer gewahlten PaBwort 
geschtitzt ist. 

15 

Zur Identifikation des Nutzers werden persOnliche Daten zusammen mit einer Kopie des 
Zertifikats in eine Datenbank eingetragen. Der Server greift auf diese Informationen zu, 
urn Nutzer authentifizieren zu konnen, und um ein fur alle Nutzer erreichbares 
Nutzerverzeichnis anzubieten. Insbesondere besitzt jeder Nutzer einen eindeutigen 
20 Systemnamen, der sich von seinem naturlichen Namen unterscheiden kann. 

Bei der Anmeldung richtet der Betreiber des Servers dem Nutzer einen persGnlicher 

Bereich des DS ein, der Hauptordner (1) des Nutzers genannt wird. 

Betriebssysteme und Datenbanken speichern Daten und ihre Vewaltungsinformationen 

25 auf unterschiedlichste Weise. Hier wird zur Beschreibung das bekannte Modell der 
Ordner (auch: Verzeichnisse) und Dateien vewendet. Eine Datei (enthalt die Daten) ist 
stets in einem Ordner enthalten, der entweder der sogenannte Wurzelordner ist oder selbst 
in einem Ordner enthalten ist. Von diesem Ordner ausgehend gelangt man so tiber eine 
Kette von Oberordnern zu dem Wurzelordner. Die Namen der Ordner in dieser Kette 

30 werden zu dem sogenannten Pfad der Datei aneinandergehangt. Eine Datei wird eindeutig 
durch ihren Namen und ihren Pfad beschrieben. 

In dem hier beschriebenen Datenspeichersystem enthalt jeder Ordner eine spezielle Datei, 
die Sicherheitsinformationen und Verwaltungsinformationen fiir den Server enthalt 
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(Tabelle 1). Unter einem Schliefifach wird im Folgenden die Einheit von Ordner und der 
speziellen Datei verstanden. 

In dem HauptschlieBfach (Hauptordner) befinden sich von dem Betreiber eingerichtetete, 
5 nach Funktionen unterschiedene weitere SchlieBf&cher, unter anderera persflnliche 
SchlieBfScher (2), BereitstellungsschlieBf&cher (3), EmpfangsschlieBfScher (4), 
offentliche SchlieBfScher (5) ftir den Nutzer, und ein SystemschlieBfach (6), zu dem nur 
der Server Zugang hat. Die Angabe der SchlieBfachart erfolgt in der zugehtfrigen 
speziellen Datei. 

1 0 Ein Verweis auf eine Datei enthalt mindestens den Namen derjenigen Datei, auf die sie 
verweist. 

In personlichen SchlieBfachern speichert der Nutzer nur Verweise auf seine Dateien, die 
ubertagenen Dateien selbst speichert der Server in dem Systemordner. In 
BereitstellungsschlieBf&chern speichert der Nutzer Verweise auf seine Dateien fur andere 
15 Nutzer, in EmpfangsschlieBfachern befinden sich ihm von anderern Nutzern angebotene 
Verweise, und in offentlichen SchlieBfSchern befinden sich Verweise auf Dateien, die 
alien Nutzern angeboten werden. In jedem Schliefifach eines oben genannten Typs kann 
der Nutzer UnterschlieBfScher einrichten, in denen er Verweise speichern kann, und die 
wieder andere UnterschlieBfacher enthalten konnen. 

20 

Der Zugang zu dem Server erfolgt vom lokalen Rechner aus durch Anwahl der 
Internetadresse des Servers. Dadurch erhalt der Server die Internetadresse des lokalen 
Rechners. In der Regel identifiziert der Netzwerkbetreiber, der den Zugang des lokalen 
Rechners an das Internet vermittelt, die Zugangstelle (ISDN oder ADSL Verbindung, 
25 GSM, GPRS, WLAN, UMTS) eindeutig. Damit der Server diese Information erhalt, muss 
unter UmstSnden ein Vertrag zwischen Netzwerkbetreiber und Betreiber des 
Datensicherungssystems bestehen, und der Netzwerkbetreiber muss die technischen 
M6glichkeiten bereitstellen. 

30 Der Server schickt ein spezielles Programm auf den lokalen Rechner, das sogenannte 
Clientprogramm. Es ist auch mSglich, ein Clientprogramm auf dem lokalen Rechner zu 
installieren und aus ihm heraus die Anwahl durchzufuhren. Das Clientprogramm 
verbindet sich mit einigen auf dem lokalen Rechner vorhandenen Systemen, zum 
Beispiel einem Chipkartenleser, einem Fingerabdruckscanner, einem 
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Gesichtserkennungssystem, einem GPS Modul oder einem zur Bestimmung (oder 
naherungsweisen Bestimmung) des geographischen Orts eingerichtetn Systems. 
Mit Hilfe des Clientprogramms kann der Nutzer die ihm auf Serverseite zur Verfugung 
gestellten Funktionen nutzen und die zur Ausfuhrung der Programme notwendigen Daten 
5 eingeben, sofern er sich ihm gegenuber erfolgreich authentifizieren kann. Zur 

Authentifizierung bietet das Clientprogramm nach Art der vorhandenen Komponenten 
(Kartenleser, biometrisches System) dem Nutzer verschiedene MOglichkeiten 
(Name^PaBwort, PIN, Chipkarte, Chipkarte mit Biometrie) an. Die ausgewahlte Methode, 
Ergebnis der Authentifizierung, und die geographischen Daten (sofern vorhanden) 
10 werden an den Server weitergeleitet. Schlagt die Authentifizierung fehl, trennt der Server 
die Verbindung, und das Clientprogramm beendet sich. Bei Erfolg kann der Nutzer 
wahlen, ob er als normaler Nutzer (Standardzustand) oder als Administrator agieren 
mochte. Im zweiten Fall kann das Clientprogramm eine erneute, qualitativ hochwertige 
Authentifizierung wie etwa mit Chipkarte und Biometrie verlangen. 

15 

Der Zeitraum von Authentifizierung bis beenden des Clientprogramms wird Sitzung 
genannt. Eine erfolgreiche Authentifizierung bewirkt insbesondere, dass mit der Sitzung 
der Systemname des Nutzers verbunden wird. Dadurch konnen viele parallel ablaufende 
Sitzungen separiert werden, und Server und Clientprogramm kflnnen die Rechte eines 
20 Nutzers zum Ausfthren von Anwendungen kontrollieren. Die vom Clientprogramm 

Qbermittelten Informationen wie Art der Authentifizierung (Name/PW, Chipkarte, ...) und 
geographischer Ort sowie die dem Server bekannte Anfangszeit, die aktuelle Zeit und die 
Adresse (Intemetadresse oder Netzwerkbetreiberidentifikation) des lokalen Rechners 
gehoren ebenfalls zu den Sitzungsdaten und werden von dem Server gespeichert. 

25 

Das Clientprogramm zeigt dem Nutzer den Inhalt seines HauptschlieBfachs und seines 
lokalen Dateisystems in der von dem Microsoft Explorer bekannten Form als 
Ordnerbaum an; auch die Handhabung lehnt sich an den Explorer an. Es werden jeweils 
nur die SchlieBftcher und Verweise angezeigt, fiir die der Nutzer in der aktuellen Sitzung 
30 die Berechtigung besitzt. Die Berechtigung stellt der Server fest, indem er die in der 
speziellen Datei enthaltenen Daten mit den Sitzungsdaten vergleicht. 
Die SchlieBf&cher werden durch ein eigenes graphisches Symbol dargestellt, um sie von 
gewflhnlichen Ordnern zu unterscheiden. Besitzt der Nutzer Administratorrechte, erhalten 
die SchlieBfachsymbole eine besondere Farbe. 



WO 2005/003933 



PCT/DE2004/001252 



7 



Die spezielle Datei eines SchlieBfachs ist nie sichtbar und kann auch nicht sichtbar 
gemacht werden. Ist der Nutzer Administrator, so zeigt ihm das Clientprogramm auf 
Anforderung den (vom Nutzer) Snderbaren Inhalt der speziellen Datei an und ermoglicht 

5 ihm, Eintrage zu andern. 

Das SystemschlieBfach ist nie sichtbar. Diese Eigenschaft kann auch nicht geandert 
werden, da der Nutzer keinen direkten oder indirekten Zugang zu der speziellen Datei des 
SystemschlieBfachs hat. 

10 Das Ablegen einer auf dem lokalen Rechner befindlichen Datei in dem persGnlichen 
SchlieBfach des Nutzers ist ein mehrstufiger Vorgang, der von ihm mit Hilfe eines 
Programms durchgefilhrt wird, das eine Komponente in dem Clientprogramm und eine 
ttomponente auf dem Server besitzt. Die Benutzeroberflache des Clientprogramms 
ermOglicht dem Nutzer, die abzulegende Datei durch Pfad und Namen auszuwahlen und 

1 5 den Zielpfad in seinem personlichen SchlieBfach anzugeben. Der Server informiert das 
Clientprogramm Uber Anforderungen, die das ZielschlieBfach an abzulegende Dateien 
stellt. Dazu gehoren maximale GrSBe, bestimmtes Format (doc, pdf) oder Vorliegen einer 
Signatur der Daten. Sind die Anforderungen erfullt, ladt das Clientprogramm die in der 
Datei enthaltenen Daten und erzeugt eine Zufallszahl, den so genannten Zugangsschliissel 

20 (8), mit dem die Daten mit einem symmetrischen VerschlUsselungsverfahren 

verschlOsselt werden. AnschlieBend wird dieser Zugangsschliissel mit dem oflfentlichen 
Nutzerschliissel zu dem verschlusselten Zugangsschliissel (9) verschliisselt und der 
Zugangsschliissel wird vernichtet. Dadurch wird erreicht, dass nur der Nutzer, der mit 
Hilfe seines geheimen Schlussels den Zugangsschliissel zuriickgewinnen kann, den 

25 verschlusselten Inhalt der Datei wieder entschlUsseln kann. 

Dateiname, Dateityp, DateigrSBe, verschlusselte Daten und verschlusselter 
Zugangsschliissel werden zusmmen mit weiteren, nach Tabelle 2 benotigten daten, an den 
serverseitigen Programmteil geschickt. 

Dieser verschlQsselt die Daten ein zweites Mai mit einem eigenen symmetrischen 
30 Schliissel, so dass selbst ein Diebstahl der Daten, des verschlusselten Zugangsschlussels 
und des geheimen Nutzerschliissels keinen Zugang zu den Daten ermSglicht. Dann 
erzeugt er einen systemweit eindeutigen Dateiidentifikator, der als interner Name der 
verschlusselten Daten verwendet wird. Unter diesem Namen werden die verschlusselten 
Daten im SystemschlieBfach abgelegt. Im Zielordner wird dann ein Verweis mit dem 
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Namen der Datei als Dateinamen erzeugt, der den Dateiidentifikator, den verschlUsselten 
Zugangsschlussel und Informationen uber die Datei (GrflBe, Typ) enthalt. 

Will der Nutzer als Eigentumer einer Datei diese einem anderen Nutzer anbieten, richtet 
5 er als Administrator in einem Bereitstellungsschliefifach ein NutzerschlieBfach (7) ftir ihn 
ein. Der Server stellt ihm dafiir uber das Clientprogramm in der Art eines Telefonbuchs 
ein Nutzerverzeichnis zur Verfugung, aus dem er den gewiinschten Nutzer als Adressat 
auswahlt. Er kann auch einer Gruppe von Nutzern ein personliches SchlieBfach 
einrichten. Der Server tragt diesen oder diese Nutzer als Miteigentumer des Schliefifachs 

1 0 in die Eigenschaftendatei ein. 

Mit Hilfe der Benutzeroberflache des Clientprogramms teilt der Eigentilmer dem Server 
die anzubietende Datei und ihr Ziel (ein vom Eigentumer eingerichtetes UnterschlieBfach) 
innerhalb des NutzerschlieBfachs mit. Das Clientprogramm schickt diese Informationen 
an den Server. Der Server prtift, ob die Eigenschaften des ZielschlieBfachs die 

1 5 gewUnschte Operation erlauben, und schickt dann eine Kopie des Verweises auf die Datei 
zusammen mit dem offentlichen Schliissel des Adressaten an das Clientprogramm zurUck. 
Dieser entnimmt aus dem Verweis den verschliisselten Zugangsschlussel, fordert den 
Nutzer auf, mit seinem geheimen Schliissel den Zugangsschlussel wieder herzustellen und 
verschlusselt ihn dann mit dem offentlichen Schliissel des Adressaten zu einem neuen 

20 verschliisselten Zugangsschlussel. Der Zugangsschlussel wird vernichtet, der neue 

verschliisselten Zugangsschlussel in den Verweis eingetragen, und der Verweis an den 
Server zuriickgeschickt, der ihn in dem ZielschlieBfach ablegt. Dann wird in einem 
EmpfangsschlieBfach des Adressaten ein SchlieBfach mit dem Namen des Eigentumers 
erzeugt. 

25 Dadurch hat nun der Adressat einen Verweis auf die Datei zusammen mit einem 
persOnlichen Zugangsschlussel verschliisselten Zugangsschlussel. 

Offnet der Nutzer ein EmpfangsschlieBfach, sieht er SchlieBfacher, die mit den Namen von 
Anbietern bezeichnet sind. Offhet er ein solches SchlieBfach X (durch Klick auf das Icon 
30 in der Anzeige seines Clientprogramms) eines Anbieters, so durchsucht der Server die 

BereitstellungsschlieBfacher des Anbieters nach NutzerschlieBffichern, die von ihm fiir den 
Nutzer eingerichtet wurden, und w&hlt darunter die NutzerschlieBfiicher aus, die unter den 
aktuellen Sitzungsdaten dem Nutzer den Zugang gestatten. Diese Namen sendet der Server 
an das Clientprogramm, das sie als UnterschlieBf&cher von X anzeigt. Die 
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Nutzerschlie&facher sind also nicht wirklich in X enthalten, der Nutzer kann das aber nicht 
feststellen. 

Die angebotenen Verweise (der Nutzer sieht angebotene Dateien) werden vom Server nur 
dann an das Clientprogramm gemeldet, wenn kein Sitzungsdatum die in dem Verweis 
5 verzeichneten Bedingungen verletzt. 

Aus der Beschreibung wird deutlich, dass ein Nutzer einen Verweis hochstens dann in 
seinem Clientprogramm sieht, wenn der Verweis einen mit dem Sffentlichen Schltlssel des 
Nutzers verschliisselten verschlusselten Zugangsschlussel enthalt. Der Nutzer kann mit 
1 0 seinem geheimen Schliissel und dem verschliisselten Zugangsschlussel den 

Zugangsschlussel der Datei wiederherstellen und die verschlusselten Daten entschlUsseln. 
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Ta belle t: spezielle Ordnerdatei 



Definition: 


Vom System angelegte Datei; 
ReprSsentant einer Datei im 
SystemschlieBfach 




Datenfelder: 


Identifikator der verwiesenen Datei; 

Verschliisselter 

VerschlUsselungsschlUssel; 

Typ der Datei; 

GroBe der Datei; 

Zeit der Dateierzeugung; 

Zeit der AnJage des Verweises; 

Zeit des letzten Zugriffs. 




Sicherheitsinformationen: 


Eigentumer; 

Restriktion Authentifizierung 











1 5 Tabelle 2: Verweis 
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Verfahren fur ein netzbasiertes Datenspeichersystem mit hoher Sicberheit 

Patentanspruch 

5 1 . Verfahren filr ein netzbasiertes Datenspeichersystem mit hoher Sicherheit, bei dem die 
Speicherung der Daten auf einem Server in einem Telekommunikationsnetz erfolgt 
und die lokalen Rechner der Nutzer iiber das Telekommunikationsnetz mit dem Server 
verbunden sind, dadurch gekennzeichnet. 

- dass der Betreiber des Servers dem Nutzer auf Antrag ein Nutzerzertifikat fiir die 
1 0 Zugangsbedingungen ausstellt, das in Verbindung mit einem tiffentlichen und 

einem geheimen Schlussel dem Nutzer vorzugsweise auf einer Chipkarte 
bereitgestellt wird, 

- dass der iiber das Internet angewahlte Server ein Clientprogramm zum lokalen 
Rechner des Nutzers sendet, das fur den Nutzer die Authentifizierung mit der 

1 5 Chipkarte sowie die Ubertragung weiterer Sicherheitsanforderungen wie 

biometrische Systeme, geografische Positionsbestimmung, mit und ohne 
Zeitabhangigkeiten, sowie separate Zeiteinschrankungen, Netz- und Rechnerdaten 
u.a. moglicht macht, 

- dass auf dem Server fiir angemeldete Nutzer ein persOnlicher Hauptordner 
20 eingerichtet wird, der eine spezielle Datei mit den fur diesen Hauptordner 

festgelegten Sicherheitsanforderungen und Verwaltungsangaben erhalt und durch 
diese spezielle Datei den Status eines SchlieBfaches erhalt, 

- dass in den Hauptordnern weitere Ordner eingerichtet werden kflnnen, die nach 
Funktionen unterschieden werden und durch die spezielle Datei mit den fur sie 

25 jeweils festgelegten Sicherheitsanforderungen als ftinktionale SchlieBfScher 

fungieren, 

- dass die in den Hauptordnern eingerichteten SchlieBfScher mindestens die 
Funktionen persSnliche SchlieBfacher, in die ausschlieBlich der Nutzer des 
HautschlieBfaches seine Dateien speichern kann und die auch nur diesem Nutzer 

30 angezeigt werden, BereitstellungsschlieBfacher, in die der Nutzer die Verweise fiir 

Dateien in nachNamen unterschiedenen NutzerschlieBfichern fiir andere Anwender 
ablegt, EmpfangsschlieBffccher, in denen dem Nutzer die mit Namen 
gekennzeichneten SchlieBfacher der Absender von Dateien angezeigt werden und 
beim Offnen derartiger SchlieBfacher filr den Nutzer ein Verweis zur Ablage der 



1 
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Dateien und zu den festgelegten Sicherheitsanforderungen sichtbar werden, und 
offentliche SchlieBfacher, in denen vom Nutzer die Venveise auf Dateien 
gespeichert werden, die bei der Ablage im BereitstellungsschlieBfach ftir mehrere 
Empfanger vorgesehen sind, und 
5 - dass die Anzeige der SchlieBfacher nur erfolgt, wenn die sicherheitsrelevanten 

Vorgaben des Betreibers, Nutzers bzw. Anbieter erfullt werden, so dass. das 
SchlieBfachsystem virtuellen Charakter besitzt. 
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